ISMS ACADEMY

セキュリティ用語集

ISMSや情報セキュリティに関する専門用語をわかりやすく解説します。
「これってどういう意味?」と思ったらここで検索しましょう。

ISMS

System

Information Security Management System

「情報セキュリティマネジメントシステム」のこと。技術対策だけでなく、組織として情報を守るためのルール作りや運用体制の仕組み全体を指します。

ISO/IEC 27001

Standard

Information security management systems — Requirements
(JIS Q 27001)

ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格。組織が認証を取得する際の審査基準(認証基準)となる。

ISO/IEC 27002

Standard

Information security controls
(JIS Q 27002)

情報セキュリティ管理策の実践規範。ISO/IEC 27001の附属書Aにある管理策を具体的にどう実装すべきかを示したガイドライン(ベストプラクティス集)。

TISAX

System

Trusted Information Security Assessment Exchange

ドイツ自動車工業会(VDA)が定めた情報セキュリティ評価の仕組み。自動車業界のサプライチェーン全体でセキュリティレベルを統一・保証するために利用される。

ISO/IEC 27017

Cloud

Code of practice for information security controls based on ISO/IEC 27002 for cloud services
(JIS Q 27017)

クラウドサービスに関する情報セキュリティ管理策のガイドライン規格。クラウドサービス利用者(カスタマ)と提供者(プロバイダ)の双方が実施すべき対策が示されている。

クラウドサービスカスタマ (CSC)

Cloud

Cloud Service Customer

クラウドサービスを利用する組織や個人のこと。ISO 27017では、サービスを使う側(利用者)にもアカウント管理やデータ管理などのセキュリティ責任があることが明確化されている。

クラウドサービスプロバイダ (CSP)

Cloud

Cloud Service Provider

クラウドサービスを提供する事業者のこと(例:AWS, Microsoft, Googleなど)。インフラの物理的な保護やプラットフォームのセキュリティ対策に責任を持つ。

責任共有モデル

Cloud

Shared Responsibility Model

クラウドセキュリティにおいて、プロバイダとカスタマがそれぞれどの範囲の責任を負うかを定めた考え方。「クラウド『自体の』セキュリティ」はプロバイダ、「クラウド『における』セキュリティ」はカスタマが責任を持つ。

マルチテナンシー

Cloud

Multi-tenancy

サーバーやストレージなどのリソースを、複数の異なる利用者(テナント)で共有する仕組み。ISO 27017では、他の利用者のデータと混ざらないような「論理的な隔離」が重要視される。

機密性

CIA

Confidentiality

許可された人だけが情報にアクセスできる状態。「漏洩させない」こと。パスワードやアクセス権限で守ります。

完全性

CIA

Integrity

情報が正確で、改ざんや欠損がない状態。「データが勝手に書き換えられていない」こと。

可用性

CIA

Availability

必要な時にいつでも情報やシステムが使える状態。サーバーダウンや災害時でも業務が止まらないようにすること。

共連れ

Physical

Tailgating

オートロックのドアなどで、入室許可を持つ人の直後に続いて、許可のない人が不正に入室すること。「ピギーバック」とも呼ぶ。物理的侵入の代表的な手口。

ショルダーハッキング

Physical

Shoulder Surfing

パスワード入力や機密情報の閲覧中に、背後から肩越しに画面やキーボード操作を盗み見る行為。いわゆる「のぞき見」。

盗聴

Physical/Net

Eavesdropping

ネットワーク通信や会話の内容を、第三者がこっそり傍受すること。暗号化されていないフリーWi-Fiなどは盗聴のリスクが高い。

クリアデスク・クリアスクリーン

Rule

Clear Desk / Clear Screen

離席時に机の上に書類を放置しない、PC画面をロックすること。物理的な情報漏洩を防ぐための基本ルール。

シャドーIT

Risk

Shadow IT

会社が許可していない私物端末やクラウドサービスなどを、従業員が勝手に業務利用すること。管理不能なため情報漏洩のリスクが高い。

MDM

System

Mobile Device Management

「モバイルデバイス管理」のこと。スマートフォンやタブレットなどのモバイル端末を、企業が一元的に管理・運用するためのシステム。紛失時の遠隔ロックやデータの消去(リモートワイプ)などが可能。

プロンプトインジェクション

AI

Prompt Injection

生成AIに対して特殊な命令や巧妙な質問を入力することで、AIに設定された倫理的な制限や安全フィルターを回避し、意図しない回答(機密情報の出力や不適切な発言など)を引き出す攻撃手法。

ディープフェイク

AI

Deepfake

AI技術(ディープラーニング)を用いて作成された、本物と見分けがつかない偽の動画や音声。経営者になりすましたビデオ会議詐欺や、偽情報の拡散などに悪用されるリスクがある。

シャドーAI

AI

Shadow AI

会社が許可していない生成AIサービスやツールを、従業員が独断で業務に利用すること。「シャドーIT」のAI版。機密情報をAIに入力してしまうことによる情報漏洩が懸念される。

データポイズニング

AI

Data Poisoning

AIの学習データに意図的に不正なデータ(毒)を混入させ、AIの学習モデルを汚染する攻撃。これによりAIの判断精度を下げたり、特定の条件下で誤動作させたりする。

ハルシネーション

AI

Hallucination

生成AIが、事実とは異なるもっともらしい嘘の情報を生成してしまう現象。「幻覚」という意味。悪意がなくても誤情報が拡散するリスクがあるため、出力内容の事実確認(ファクトチェック)が必須。

サイバー攻撃

サイバー

Cyber Attack

ネットワークを通じてシステムに不正侵入し、破壊や窃取、改ざんを行う行為の総称。

SQLインジェクション

サイバー

SQL Injection

データベースを操作する言語「SQL」の不備を突き、不正な命令文を送り込んでデータを盗んだり消したりする攻撃。

クロスサイトスクリプティング

サイバー

XSS (Cross Site Scripting)

Webサイトの脆弱性を利用し、悪意あるスクリプトを埋め込む攻撃。閲覧したユーザーのブラウザ上で不正なプログラムが実行されてしまう。

ブルートフォース攻撃

サイバー

Brute Force Attack

「総当たり攻撃」。パスワードなどの解読のために、可能なすべての組み合わせを一つずつ試していく力技の攻撃手法。

DDoS攻撃

サイバー

Distributed Denial of Service

複数の機器から特定のサーバーへ一斉に大量の通信を送りつけ、サーバーをパンクさせてサービスを利用不能にする攻撃。

ボットネット

サイバー

Botnet

ウイルス感染などにより、攻撃者が遠隔操作できるように乗っ取られた多数のPCやIoT機器で構成されるネットワーク。DDoS攻撃の踏み台にされる。

トロイの木馬

サイバー

Trojan Horse

一見有用なソフトやファイルを装って侵入し、裏でデータの窃盗や破壊などの悪意ある動作をするマルウェア。自己増殖はしないのが特徴。

キーロガー

サイバー

Keylogger

キーボードの入力履歴(ログ)を記録し、外部に送信するスパイウェア。パスワードやクレジットカード情報を盗み取るために使われる。

バックドア

サイバー

Backdoor

一度侵入に成功した攻撃者が、次回から簡単に侵入できるように設置する「裏口」。正規の手続きを経ずにシステムを操作できるように仕掛けられる。

なりすまし

Threat

Spoofing

第三者が正規のユーザーや管理者、あるいは実在する組織のふりをして、不正にシステムを利用したり情報を盗んだりすること。

改ざん

Threat

Tampering

権限のない者がデータを勝手に書き換えること。Webサイトの内容が書き換えられる「Web改ざん」などが代表例。

ビジネスメール詐欺 (BEC)

Threat

Business Email Compromise

経営層や取引先になりすまし、偽の送金指示やウイルス付きメールを従業員に送りつける巧妙な詐欺手法。

サプライチェーン攻撃

Threat

Supply Chain Attack

セキュリティの堅固なターゲット(大企業)を直接攻撃せず、対策の手薄な関連会社や取引先を踏み台にして攻撃を仕掛ける手法。

ソーシャルエンジニアリング

Threat

Social Engineering

技術的なハッキングではなく、人の心理的な隙や行動のミスにつけ込んで情報を盗む手法。電話でパスワードを聞き出すなどアナログな手口も含む。

フィッシング

Threat

Phishing

実在する企業を装った偽のメールやSMSを送りつけ、偽サイトに誘導してIDやパスワードを盗み取る詐欺手法。

ランサムウェア

Malware

Ransomware

感染するとPC内のファイルを暗号化して開けなくし、元に戻すための「身代金(Ransom)」を要求するウイルス。

標的型攻撃

Threat

Targeted Attack

特定の組織や個人をターゲットに絞り、執拗に行われる攻撃。業務関連のメールを装ってウイルスファイルを添付するなど、手口が巧妙。

ファイアウォール

サイバー

Firewall

社内ネットワークと外部(インターネット)の間に設置する「防火壁」。許可された通信だけを通し、不正なアクセスを遮断する。

VPN

サイバー

Virtual Private Network

インターネット上に仮想的な専用線を作り、通信内容を暗号化して安全にやり取りする技術。テレワークなどで利用される。

マルウェア

サイバー

Malware

「悪意のあるソフトウェア」の総称。ウイルス、ワーム、トロイの木馬、ランサムウェアなどはすべてマルウェアの一種。

暗号化

サイバー

Encryption

データを特定のルールに従って変換し、第三者が内容を解読できないようにすること。

多要素認証

Defense

Multi-Factor Authentication

「知識」「所有」「生体」のうち、2つ以上の要素を組み合わせて本人確認を行うこと。パスワードのみより安全性が高い。

ゼロトラスト

Concept

Zero Trust

「社内なら安全」という考えを捨て、「何も信頼しない」を前提に、すべてのアクセスに対して都度正当性を確認する考え方。

インシデント

Term

Incident

情報セキュリティ事故や、事故につながる恐れのある事象のこと。ウイルス感染、紛失、メール誤送信など。

リスクアセスメント

Risk

Risk Assessment

情報資産に対する「脅威」と「脆弱性」を分析・評価すること。ISMS運用の要となるプロセス。

脆弱性

Term

Vulnerability

OSやソフトの不具合などによる情報セキュリティ上の欠陥。「セキュリティホール」とも呼ばれる。